A questão da segurança da informação será sempre um assunto em alta entre os CIOs, do mesmo modo que o desenvolvimento de novas formas de ataque cibernético estão em alta entre os hackers. Organizações em todo o mundo estão preocupadas com os riscos que as ameaças representam para as suas operações, mas não atingiram um alto nível de maturidade em segurança da informação, o que as impede de implementar estratégias e políticas capazes de identificar e gerenciar os riscos com eficiência e agilidade.
Segundo o modelo de referência de práticas CMMI (Capability Maturity Model – Integration), desenvolvido pelo SEI (Software Engineering Institute) da Universidade Carnegie Mellon, são seis os níveis de maturidade em segurança da informação:
0 – Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.
1 – Inicial / Ad hoc – A empresa já reconheceu que existem questões que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad hoc que tendem a ser aplicados individualmente ou caso a caso. O enfoque geral de gerenciamento é desorganizado.
2 – Repetível, porém intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e, consequentemente, erros podem ocorrer.
3 – Processo definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos. No entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados, mas existe a formalização das práticas existentes.
4 – Gerenciado e mensurável – A gerência monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos são constantemente aprimorados e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada.
5 – Otimizado – Os processos foram refinados a um nível de boas práticas, resultado de um contínuo aprimoramento e modelagem da maturidade em segurança da informação. A TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade, produtividade e segurança das aplicações e infraestrutura, tornando a organização ágil na resolução de problemas.
Brasil apresenta baixo nível de maturidade em segurança da informação
Segundo uma pesquisa da consultoria IDC, a maioria das empresas brasileiras não conta com ferramentas eficientes para enfrentar as novas e crescentes ameaças digitais e mais da metade relata a dificuldade em encontrar profissionais qualificados para lidar com essas ferramentas. Além disso, as grandes empresas não têm visibilidade dos seus problemas de segurança por conta da complexidade de seus ambientes e sistemas.
Quando se fala em políticas e padrões de segurança da informação estabelecidos e documentados, 28% das empresas não possuem um cronograma de atualizações, e apenas 42% entre as 100 que possuem controles definidos geram métricas sobre a cumprimento de suas políticas de segurança.
O estudo indica algumas ações para aprimorar a maturidade em segurança da informação, como contratar serviços terceirizados e gerenciados para melhor visibilidade e mitigação de acidentes, e investir em ferramentas que ofereçam melhor controle, visibilidade e automação, atuando de forma preventiva e preditiva. O GAT, uma plataforma única desenvolvida no Brasil, automatiza todos esses processos, oferecendo uma visão real e integrada do grau de exposição do ambiente de TI.
Entre suas diversas funcionalidades, o GAT oferece um dashboard com informações que permitem aos executivos acompanhar em tempo real seus investimentos em segurança, bem como o andamento do trabalho pelas equipes e, consequentemente, seu nível de maturidade em segurança da informação.
